windows xp e spoolsv.exe comportamento alquanto strano

[alle99]

Ciao Uso xp sul mio notebook e da ormai parecchio tempo mi succede una cosa molto strana a cui non sono ancora riuscito a trovare una soluzione.

Avvio il mio notebook Dell Ispiron 6400 un pò vecchietto ma che cavalca ancora bene il suo lavoro, l'avvio si completa tranquillamente, si collega al Wi-fi ma ad un certo punto se avvio Thunderbird, office, Firefox, explorer etc i processi vengono avviati, ma i programmi non si aprono restano bloccati.

Guardando il task manager che vi allego tutti i processi restano a 0 CPU tranne il ciclo idle di sistema che sta a 99%, giustamente

praticamente il pc è bloccato. se scelgo spoolsv.exe e termino il processo in un attimo mi si aprono tutti i programmi e riesco a lavorare come niente fosse.

Ho controllato virus , troyan ma tutto negativo... unico processo che mi pare strano come nome ZCfgSvc.exe ma vedo che è un file intel...

Questa cosa mi succede tutte le volte che riavvio il pc e non c'è una volta che non debba terminare Spoolsv.exe.

Nel file allegato mostro le finestre di soffice.exe bloccate e la finestra di task manager prima di chiudere il processo spoolsv.exe
Riuscite a darmi qualche suggerimento? Grazie

 

[tecnico24]

Inviaci un log di Hijackthis
http://www.tomshw.it/forum/sicurezza/106542-guida-hijackthis-come-creare-e-allegare-il-log.html

 

[alle99]

grazie ho scaricato HijackThis v2.0.2 seguendo le tue indicazioni ed eccoti il log grazie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.45.30, on 15/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\WiFi\bin\S24EvMon.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
C:\Programmi\Intel\WiFi\bin\EvtEng.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\LMabcoms.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Intel\WirelessCommon\RegSrvc.exe
C:\Programmi\Dell Support Center\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TeamViewer\Version7\TeamViewer_Service.exe
C:\Programmi\File comuni\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\TeamViewer\Version7\TeamViewer.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\TortoiseSVN\bin\TSVNCache.exe
C:\Programmi\TeamViewer\Version7\tv_w32.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Ask.com\Updater\Updater.exe
C:\Programmi\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programmi\File comuni\Intel\WirelessCommon\iFrmewrk.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
C:\Programmi\Lexmark\ErrorApp\LMab1err.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Documents and Settings\alex\Dati applicazioni\Dropbox\bin\Dropbox.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=100478&babsrc=HP_ss&mntrId=fc341b0f000000000000001302428883
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://et0021b7a016a1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2012\ievkbd.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2012\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ApnUpdater] "C:\Programmi\Ask.com\Updater\Updater.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\File comuni\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [LMab1err] C:\Programmi\Lexmark\ErrorApp\LMab1err.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Mozilla Thunderbird.lnk = C:\Programmi\Mozilla Thunderbird\thunderbird.exe
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\alex\Dati applicazioni\Dropbox\bin\Dropbox.exe
O9 - Extra button: &Tastiera Virtuale - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2012\ievkbd.dll
O9 - Extra button: C&ontrollo URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2012\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Programmi\File comuni\AVG Secure Search\ViProtocolInstaller\8.0.1\ViProtocol.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programmi\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: lmab_device -   - C:\WINDOWS\system32\LMabcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programmi\File comuni\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programmi\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Programmi\Dell Support Center\bin\sprtsvc.exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Programmi\TeamViewer\Version7\TeamViewer_Service.exe
O23 - Service: vToolbarUpdater - Unknown owner - C:\Programmi\File comuni\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe

--
End of file - 7793 bytes

 

[tecnico24]

Chiudi tutti i programmi aperti
Avvia Hijackthis , spunta queste voci sul quadratino a sinistra (Apri lo Spoiler):

Spoiler

O23 - Service: vToolbarUpdater - Unknown owner - C:\Programmi\File comuni\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe

O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Programmi\File comuni\AVG Secure Search\ViProtocolInstaller\8.0.1\ViProtocol.dll

O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [LMab1err] C:\Programmi\Lexmark\ErrorApp\LMab1err.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [ApnUpdater] "C:\Programmi\Ask.com\Updater\Updater.exe"

O3 - Toolbar: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Babylon Search 302428883

e clicca sotto sul pulsante Fix Checked.


Portati in questa chiave:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
ed elimina ogni riferimento a Vtoolbar

Scarica Combofix sul desktop:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Disattiva il tuo antivirus e chiudi i programmi aperti
Tasto destro e su esegui come ammininistratore
Procedi con le istruzioni senza toccare nulla
attendi fino al riavvio e posta il suo log (esce in automatico o C:\Combofix.txt )

 

[Federico83]

sarebbe da spostare in sicurezza

 

[alle99]

grazie , dopo aver disattivato il mio antivirus karpesky, ho cercato di avviare combofix.exe , ma dopo una prima scansione mi si apre una finestra:

"Combox ha rilevato il seguente scanner in real time è attivo: antivirus antivir desktop è risaputo che gli antivirus e i software Hips interferiscono con Combofix se è in esecuzione.... danni etc etc...

così mi sono bloccato. immagino si tratti di una mancata disinstallazione completa di Antivir che avevo provato tempo fa ma come fare a toglierlo completamente? Oppure vado ugualmente avanti?
fatemi sapere grazie


cosa intendete "spostare in sicurezza"?

 

[Federico83]

che se hai un virus questa non è la sezione giusta.

 

[alle99]

non immagini quanto sarei felice di sapere che si tratta di un virus, almeno saprei che è qualcosa... ma fino ad oggi con tutti i controlli fatti non mi ha mai dato nessun problema oltre a quello evidenziato nella prima richiesta e qualsiasi controllo è risultato negativo...
siete gli unici che mi avete dato un ulteriore aiuto con questi due programmi... intanto se mi aiutate a concludere con combofix e risulta un virus poco mi interessa spostarlo in sicurezza...l'importante ècapire di cosa si tratta è quasi assurdo te lo assicuro.... intanto grazie mille

 

[Federico83]

guarda prova a leggere qui A cosa serve il processo spoolsv.exe? non so se tu lo abbia letto prima di postare ma alcuni virus utilizzano nomi di servizi di sistema e si annidano sotto di essi...

 

[tecnico24]

Scarica e salva sul desktop questa utility
Chiudi tutti i programmi aperti
Apri il programma e clicca su Scan for Keys
Quando ha finito clicca su Select All e rimuovile.

Riavvia Combofix con antivirus e connessione disattivati.

@federico
sto valutando o meno se si tratta di malware , poi decideremo a breve tranquillo.

 

[alle99]

guarda prova a leggere qui A cosa serve il processo spoolsv.exe? non so se tu lo abbia letto prima di postare ma alcuni virus utilizzano nomi di servizi di sistema e si annidano sotto di essi...

avevo già letto cose simili, ma non ho ne file di stampa sospesi ne il processo spoolsv.exe che occupa la cpu anzi come da task manager allegato è addirittura a 0 è per questo che non capisco cosa possa essere... ora provo a fare quello che mi dice tecnico 24 poi vi faccio sapere grazie:)



---------- Post added at 23:10 ---------- Previous post was at 23:07 ----------



Scan for Keys mi ha cancellato tutte le Hkey tranne quelle dedicate a karsperky il mio antivirus anche se la protezione è disabilitata, poi ho tolto il cavo di rete, disabilitato WI-FI e ho rilanciato Combofix ma il problema rimane vede la presenza dell'antivirus antivir desktop. vado avanti ugualmente oppure no?

 

[tecnico24]

Vai avanti , se hai eliminato tutte le chiavi e dal pannello di controllo non c'è traccia non preoccuparti.

Assicurati che in buckground pero non lavori nessun programma di sicurezza.

 

[alle99]

Grazie tecnico 24, ma mi sa che il problema è grosso...

con Reg cleaner non riesco ad eliminare le chiavi di Karspersky mio antivirus come ti allego nel file

Poi assicurandomi che la rete wi-fi e la protezione di Karspersky fossero disattivate ho fatto partire Combofix si è aperta la finestra blu, ha creato il punto di ripristino e quindi ha cominciato a controllare il disco: la scritta che la scansione in genere dura 10 minuti ma può anche raddoppiare.... e ho aspettato....

Ho provato più volte, ma sempre dopo un controllo di un paio di minuti del disco sembra che il programma si blocchi. Il led del disco non si riaccende e si sente solo la ventola del notebook... sembra proprio che il programma si sia bloccato, se muovo il mouse su start non posso far nulla neppure spegnere il pc. sono obbligato a passare dal tasto di spegnimento drastico....
che posso fare?
Immagino che vi sto snervando :O) Grazie ancora per i tentativi suggeriti

 

[alle99]

ho provato a sottoporre il pc a Malwarebytes e sembra tutto ok! Nessun malware presente...
poi ho riprovato con Karsperky e ha rilevato 1 Trojan Packed.win32.Krap.hc
poi ho provato anche Stopzilla e me ne ha trovati addirittura 6 (Vundo.a7,Trojan.win.32.Redirect,Trojan.win.32.Cognac!s, Trojan.win.32.Mal.gen, Fake antivirus.V) ma poi devo pagare per cancellarli....

Poi non sapendo a chi dare fiducia mi sono limitato a Karspesky e ho sistemato...ma il problema persiste cosa mi consigliate ?

 

[alle99]

Nonostante abbia sospeso la protezione di Karspesky 2012 cliccando sulla voce opportuna dopo aver cliccato sul tasto destro sull'icona karspeky in basso a destra mi sono accorto che andando in >pannello di controllo>strumenti di amministrazioni>Servizi il servizio Karpersky antivirus è sempre attivo e neppure con i permessi di amministratore è possibile sospenderlo. Può essere il motivo per il quale fixcombo non funzione e si pianta? Come posso fare? Grazie